# VPC 的安全最佳实践 以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。 + 向 VPC 添加子网以托管应用程序时,请在多个可用区中创建子网。可用区是 AWS 区域中一个或多个具有冗余电源、网络和连接的离散数据中心。使用可用区可为生产级应用程序提供高可用性、容错能力和可扩展性。 + 使用安全组来控制流向子网中的 EC2 实例的流量。有关更多信息,请参阅 [安全组](vpc-security-groups.md)。 + 使用网络 ACL 在子网级别控制入站和出站流量。有关更多信息,请参阅 [使用网络访问控制列表控制子网流量](vpc-network-acls.md)。 + 使用 AWS Identity and Access Management(IAM)身份联合验证、用户和角色,管理对 VPC 中 AWS 资源的访问。有关更多信息,请参阅 [适用于 Amazon VPC 的 Identity and Access Management](security-iam.md)。 + 使用 VPC 流日志监控传入和传出 VPC、子网或网络接口的 IP 流量。有关更多信息,请参阅 [VPC 流日志](flow-logs.md)。 + 使用网络访问分析器识别对我们 VPC 中资源的计划外网络访问。有关更多信息,请参阅 [网络访问分析器用户指南](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/)。 + 使用 AWS Network Firewall 通过筛选入站和出站流量来监控和保护您的 VPC。有关更多信息,请参阅 [AWS Network Firewall 指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)。 + 使用 Amazon GuardDuty 检测您的账户、容器、工作负载以及 AWS 环境中的数据面临的潜在威胁。基础威胁检测包括监控与 Amazon EC2 实例关联的 VPC 流日志。有关更多信息,请参阅《*Amazon GuardDuty 用户指南*》中的 [VPC 流日志](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html#guardduty_vpc)。 有关 VPC 安全性的常见问题的答案,请参阅 [Amazon VPC 常见问题解答](https://aws.amazon.com/vpc/faqs/)中的*安全性和筛选*。